{"id":32106,"date":"2025-04-30T16:37:13","date_gmt":"2025-04-30T14:37:13","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32106"},"modified":"2025-04-30T16:37:13","modified_gmt":"2025-04-30T14:37:13","slug":"trojan-in-fake-smartphones","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/trojan-in-fake-smartphones\/32106\/","title":{"rendered":"Vorinstallierte Trojaner auf gef\u00e4lschten Android-Smartphones"},"content":{"rendered":"

An der Supermarktkasse gibt es h\u00e4ufig Sonderangebote: \u201eNoch einen Schokoriegel f\u00fcr unterwegs? Mit einem tollen Rabatt.\u201c Etwas Gl\u00fcck, und du bekommst einen leckeren Snack fast umsonst. Vielleicht will man dir aber auch einen Ladenh\u00fcter unterjubeln, der bald abl\u00e4uft oder mit dem etwas anderes nicht stimmt.<\/p>\n

Nehmen wir an, du lehnst den Schokoriegel ab, er wird dir aber trotzdem heimlich in die Einkaufstasche gesteckt. Oder noch schlimmer: in die Hosentasche, wo er schmilzt und nicht nur deine Kleidung ruiniert, sondern dir auch noch den Tag verdirbt. Etwas \u00c4hnliches passierte Kunden, die in Online-Shops gef\u00e4lschte Smartphones kauften. Die Ger\u00e4te stammten scheinbar von beliebten Herstellern. Nein, sie bekamen keinen billigen Schokoriegel als Zugabe. Sie erhielten ein brandneues Smartphone, in dessen Firmware der Triada-Trojaner eingebettet war. Und dieser Trojaner ist viel schlimmer als geschmolzene Schokolade. Die Krypto-Wallets der Nutzer sowie ihre Telegram-, WhatsApp- und Social-Media-Konten waren teilweise schon gehackt, bevor sie auch nur \u201ePieps\u201c sagen konnten. Auch SMS-Nachrichten und vieles mehr konnte gestohlen werden.<\/p>\n

Triada? Was ist Triada?<\/h2>\n

So haben wir bei Kaspersky den Trojaner genannt, den wir 2016 erstmals entdeckt und ausf\u00fchrlich beschrieben haben<\/a>. Diese mobile Malware befindet sich nur im RAM, kann jedoch nahezu jeden Prozess infiltrieren, der auf einem Ger\u00e4t l\u00e4uft.<\/p>\n

Triada l\u00e4utete in der Entwicklung mobiler Android-Bedrohungen eine neue \u00c4ra ein. Vor Triada waren Trojaner relativ harmlos\u00a0\u2013 sie zeigten haupts\u00e4chlich Werbung an und luden andere Trojaner herunter. Diese neue Gefahr markierte einen radikalen Wandel.<\/p>\n

Im Lauf der Zeit haben Android-Entwickler die Schwachstellen behoben, die von fr\u00fchen Triada-Versionen ausgenutzt wurden. In neueren Android-Versionen d\u00fcrfen auch Nutzer mit Root-Rechten die Systempartitionen nicht mehr bearbeiten. Wurden die Cyberkriminellen dadurch gestoppt? Was glaubst du?\u00a0\u2026<\/p>\n

Wir spulen schnell etwas vor: Im M\u00e4rz 2025 entdeckten wir eine modifizierte Triada-Version, die diese neuen Beschr\u00e4nkungen ausnutzt. Die Angreifer infizieren die Firmware schon vor dem Verkauf der Smartphones. Da die Malware in den Systempartitionen vorinstalliert ist, ist das Entfernen nahezu unm\u00f6glich.<\/p>\n

Was kann die neue Version?<\/h2>\n

Unsere Android-Sicherheitsl\u00f6sung<\/a> erkennt die neue Triada-Version als Backdoor.AndroidOS.Triada.z<\/strong>. Diese neue Version ist in die Firmware gef\u00e4lschter Android-Smartphones eingebettet, die auf Online-Marktpl\u00e4tzen erh\u00e4ltlich sind. Sie kann alle<\/em> auf dem Ger\u00e4t ausgef\u00fchrten Apps angreifen. Damit besitzt der Trojaner praktisch unbegrenzte M\u00f6glichkeiten. Er kann SMS-Nachrichten und Anrufe kontrollieren, Kryptoguthaben stehlen, andere Apps herunterladen und ausf\u00fchren, Links in Browsern ersetzen, in deinem Namen heimlich Nachrichten in Chat-Apps senden und Social-Media-Konten kapern.<\/p>\n

Triada infiltriert jede App, die auf einem infizierten Ger\u00e4t gestartet wird. Dar\u00fcber hinaus verf\u00fcgt der Trojaner \u00fcber spezielle Module, die auf popul\u00e4re Apps abzielen. Sobald der Nutzer eine legitime App (z.\u00a0B. Telegram oder TikTok) herunterl\u00e4dt, nistet sich der Trojaner dort ein und beginnt, Chaos zu stiften.<\/p>\n

Telegram. <\/strong>Triada l\u00e4dt zwei Module herunter, um Telegram zu kompromittieren. Das erste initiiert einmal t\u00e4glich eine b\u00f6sartige Aktivit\u00e4t und stellt eine Verbindung zu einem Command-and-Control-Server (C2) her. Es sendet die Telefonnummer des Opfers zusammen mit den kompletten Authentifizierungsdaten (einschlie\u00dflich des Zugriffstokens) an die Kriminellen. Das zweite Modul filtert alle Nachrichten, interagiert mit einem Bot (den es zum Zeitpunkt unserer Studie noch nicht gab) und l\u00f6scht Benachrichtigungen \u00fcber neue Telegram-Anmeldungen.<\/p>\n

Instagram.<\/strong> Der Trojaner f\u00fchrt einmal t\u00e4glich eine b\u00f6sartige Aufgabe aus. Dabei sucht er nach aktiven Sitzungs-Cookies und leitet gefundene Daten an die Angreifer weiter. Mithilfe dieser Dateien k\u00f6nnen die Kriminellen die vollst\u00e4ndige Kontrolle \u00fcber das Konto \u00fcbernehmen.<\/p>\n

Browser. <\/strong>Triada bedroht eine ganze Reihe von Browsern, z.\u00a0B. Chrome, Opera und Mozilla. Eine vollst\u00e4ndige Liste findest du im Securelist-Artikel<\/a>. Das Modul stellt eine TCP-Verbindung zum C2-Server her und leitet in den Browsern legitime Links auf Werbeseiten um\u00a0\u2013 scheinbar nach dem Zufallsprinzip. Allerdings l\u00e4dt der Trojaner Weiterleitungslinks von seinem C2-Server herunter, darum k\u00f6nnen die Angreifer den Nutzer jederzeit auf Phishing-Websites umleiten.<\/p>\n

WhatsApp.<\/strong> Auch hier gibt es zwei Module. Das erste sammelt und sendet alle f\u00fcnf Minuten Daten \u00fcber die aktive Sitzung an den C2-Server. Dadurch haben die Angreifer vollen Zugriff auf das Konto des Opfers. Das zweite Modul f\u00e4ngt die Client-Funktionen zum Senden und Empfangen von Nachrichten ab. Die Malware kann also beliebige Sofortnachrichten senden und anschlie\u00dfend l\u00f6schen, um ihre Spuren zu verwischen.<\/p>\n

LINE.<\/strong> Das Triada-Modul sammelt alle 30 Sekunden interne App-Daten, einschlie\u00dflich Authentifizierungsdaten (Zugriffstoken), und leitet sie an den C2-Server weiter. Auch in diesem Fall \u00fcbernehmen die Angreifer die vollst\u00e4ndige Kontrolle \u00fcber das Konto des Nutzers.<\/p>\n

Skype.<\/strong> Obwohl Skype bald eingestellt wird<\/a>, verf\u00fcgt Triada immer noch \u00fcber ein b\u00f6sartiges Modul daf\u00fcr. Triada verwendet mehrere Methoden, um sich das Authentifizierungstoken zu schnappen und an den C2-Server zu \u00fcbermitteln.<\/p>\n

TikTok. <\/strong>Dieses Modul kann aus Cookie-Dateien im internen Verzeichnis zahlreiche Daten \u00fcber das Konto des Opfers sammeln. Au\u00dferdem extrahiert es Daten, die f\u00fcr die Kommunikation mit der TikTok-API erforderlich sind.<\/p>\n

Facebook. <\/strong>Triada besitzt zwei Module f\u00fcr diese App. Eines davon stiehlt Authentifizierungs-Cookies, das andere sendet Informationen \u00fcber das infizierte Ger\u00e4t an den C2-Server.<\/p>\n

Nat\u00fcrlich gibt es auch Module f\u00fcr SMS-Nachrichten und Anrufe<\/strong>. Mit dem ersten SMS-Modul<\/strong> kann die Malware alle eingehenden Nachrichten filtern und Codes daraus extrahieren, auf bestimmte Nachrichten antworten (wahrscheinlich, um die Opfer f\u00fcr kostenpflichtige Dienste anzumelden) und auf Befehl des C2-Servers beliebige SMS-Nachrichten senden. Das zweite Zusatzmodul deaktiviert den integrierten Android-Schutz vor SMS-Trojanern. Dieser Schutz holt die Erlaubnis des Nutzers ein, bevor Nachrichten an Kurzwahlnummern (Premium-SMS) gesendet werden. Solche Nummern k\u00f6nnten beispielsweise zur Best\u00e4tigung bezahlter Abonnements verwendet werden.<\/p>\n

Das Anrufmodul<\/strong> wird in die Telefon-App eingebettet, befindet sich aber h\u00f6chstwahrscheinlich noch in der Entwicklungsphase. Wir haben festgestellt, dass die Manipulation von Telefonnummern hier schon teilweise implementiert ist. Und wir bef\u00fcrchten, dass diese Funktion schon bald b\u00fchnenreif sein wird.<\/p>\n

Ein weiteres Modul, ein Reverse-Proxy<\/strong>, verwandelt das Smartphone des Opfers in einen umgekehrten Proxyserver. Damit k\u00f6nnen die Angreifer im Namen des Opfers auf beliebige IP-Adressen zugreifen.<\/p>\n

Wie nicht anders zu erwarten, hat Triada auch Kryptobesitzer im Visier und h\u00e4lt f\u00fcr diese als besondere \u00dcberraschung einen Clipper<\/strong> bereit. Der Trojaner sucht in der Zwischenablage nach Adressen von Krypto-Wallets und ersetzt diese durch eine Adresse des Angreifers. Ein Krypto-Stealer<\/strong> analysiert die Aktivit\u00e4ten des Opfers: Sobald versucht wird, Kryptoguthaben abzuheben, ersetzt er die Adressen von Krypto-Wallets durch betr\u00fcgerische Adressen. Er kann sogar die Schaltfl\u00e4chenfunktionen in Apps manipulieren und Bilder durch generierte QR-Codes ersetzen, die mit den Wallet-Adressen der Angreifer verkn\u00fcpft sind. Mithilfe dieser Tools haben die Kriminellen seit dem 13.\u00a0Juni 2024 Kryptoguthaben im Wert von \u00fcber 264.000 US-Dollar gestohlen.<\/p>\n

Eine vollst\u00e4ndige Liste der Triada-Funktionen und eine ausf\u00fchrliche technische Analyse findest du in unserem Securelist-Bericht<\/a>.<\/p>\n

Wie die Malware auf Smartphones gelangt<\/h2>\n

In allen uns bekannten Infektionsf\u00e4llen unterschied sich der Firmware-Name auf dem Ger\u00e4t nur um einen einzigen Buchstaben vom offiziellen Namen. Wenn die offizielle Firmware beispielsweise TGPMIXM<\/strong> hie\u00df, war es auf den infizierten Telefonen TGPMIXN<\/strong>. Das deckt sich auch mit Beitr\u00e4gen in einschl\u00e4gigen Diskussionsforen, in denen sich Nutzer \u00fcber nachgemachte Ger\u00e4te beschwerten, die sie in Online-Shops gekauft hatten.<\/p>\n

Wahrscheinlich wurde ein Element der Lieferkette kompromittiert, und die Shops hatten keine Ahnung, dass sie mit Triada infizierte Ger\u00e4te verkauften. Inzwischen l\u00e4sst sich kaum noch feststellen, wann genau die Malware in die Smartphones eingeschleust wurde.<\/p>\n

So kannst du dich vor Triada sch\u00fctzen<\/h2>\n

Die neue Version des Trojaners war auf gef\u00e4lschten Ger\u00e4ten vorinstalliert. Was ist der beste Weg, um eine Infektion mit Triada zu vermeiden? Du solltest Smartphones nur bei autorisierten H\u00e4ndlern kaufen. Wenn du den Verdacht hast, dass dein Telefon mit Triada (oder einem anderen Trojaner) infiziert ist, haben wir hier einige Tipps f\u00fcr dich.<\/p>\n